 Приближаясь к крайнему сроку, поставщики платежных приложений спешат сертифицировать свои продукты по PA-DSS.
Большинство из них думают, что весь процесс займет не более десяти дней. Но стандарт PA-DSS предъявляет особые условия для успешной сертификации:
• Приведенные в соответствие стандарту процессы и процедуры;
• Наличие документированных процессов и процедур, где подробно должна быть описана их реализация;
• Разработка безопасных приложений.
Наибольшее количество вопросов у поставщиков ПО вызывает второй пункт — наличие документированных процессов и процедур. Большинство поставщиков платежного ПО не имеют даже базовой документации, такой как стандарт по безопасному написанию программного обеспечения, политики безопасности или процессы, например, контроль изменений, проверка кода и другие. Учитывая эту ситуацию, проверка может затянуться месяца на два.
Совет для поставщиков платежных приложений: следует прочитать требования и процедуры стандарта PA-DSS и попробовать понять, насколько детальной должна быть документация. QSA-аудитор, изучая документацию, в первую очередь будет обращать внимание на специфику безопасной разработки ПО.
В некоторых случаях QSA необходимо изучить журналы изменений некоторых процессов и процедур для того, чтобы убедиться, что приложение действительно соответствует политикам безопасности не только формально, но и на практике, а так же удостовериться в его безопасной разработке.
Крайне важно, чтобы поставщики ПО заранее планировали и отводили достаточно времени для проверки, а так же не забывали, что, в конечном счете, выполнение требований PA-DSS поможет им повысить уровень безопасности своей компании и разрабатываемого программного обеспечения.
Источник: http://pa-dss.blogspot.com/2010/05/new-articles-about-pa-dss.html
Оригинал заметки: http://www.spiguard.com/blog/pa-dss-things-to-remember | 
